Fachartikel

Windows Server 2016 mit Windows Defender und ATA schützen (2)

Microsoft stand in Sachen Sicherheit in der Vergangenheit nicht immer im besten Licht. Der Konzern reagierte darauf unter anderem mit verbesserten Bordmitteln in Sachen Security. Dazu gehört einerseits Windows Defender, der Malwareschutz von Windows Server 2016. Weiter greift Microsoft Advanced Threat Analytics, das die Sicherheit im Netzwerk überwacht – insbesondere, wenn User mehr als ein Gerät nutzen. Für gewisse Lizenzmodelle ist auch dieses Werkzeug kostenlos. Wie Sie mit diesen Tools Server und Netzwerk schützen, zeigt dieser Beitrag. Im zweiten Teil gehen wir auf die Installation von Microsoft Advanced Threat Analytics ein und beschreiben, wie Sie mit Deep-Packet-Inspection und SIEM auf Angreifersuche gehen.
Mit Windows Defender und Microsoft Advanced Threat Analytics versorgen Sie Server 2016 mit einem festen Schutzschild.
Microsoft Advanced Threat Analytics
Microsoft Advanced Threat Analytics (ATA) ist eine Erweiterung der Enterprise Mobility Suite (EMS). Aufgabe des On-Premises-Systems ist das Erkennen verdächtiger Aktionen im Netzwerk, die von Angreifern durchgeführt werden. Im Fokus von ATA stehen dabei Angriffe auf Benutzeranmeldedaten. Daher behält die Software vor allem Active-Directory-Domänencontroller im Auge. Der Dienst soll aber nicht nur Endgeräte wie Smartphones oder Tablets schützen, sondern auch interne Netzwerke in AD-Strukturen sowie in Microsoft Azure und Azure Active Directory. Microsoft will mit ATA den Unternehmen ein Werkzeug an die Hand geben, um Netzwerke vor Angriffen zu schützen, die durch eine Vielzahl an Zugriffsmöglichkeiten stattfinden können. In den meisten Firmen können Anwender über immer mehr Geräte und Anbindungen auf Daten des Unternehmens zugreifen. Nur durch ein zentrales Tool wie ATA ist es dabei möglich, einen Überblick zu erhalten und Angriffe schnell und einfach zu entdecken.

Bild 4: Im Assistenten zur Installation des ATA-Centers nehmen Sie wichtige Einstellungen vor und hinterlegen die notwendigen Zertifikate.

Die Einrichtung des Tools gestaltet sich sehr einfach, die Analyse des Netzwerkes erfolgt sofort nach der Installation. Sie installieren einen Serverdienst, der das Netzwerk überwacht und einen zentralen Sammeldienst, der die Informationen aufbereitet. Die Installation kann auf dedizierten Servern erfolgen sowie auf einem gemeinsamen Server. Sobald Sie ATA installiert und eingerichtet haben – wenn Sie schnell sind in unter zehn Minuten – beginnt das System mit der Analyse des Netzwerks. Versucht ein Trojaner oder ein Angreifer zum Beispiel Benutzernamen im Active Directory auszulesen, erkannt das Tool dies und gibt eine Warnung in der Weboberfläche aus.
Verdeckte Angriffe im Netzwerk
Um was für Angriffe handelt es sich überhaupt, vor denen das ATA schützt? Laut Microsoft werden 76 Prozent aller Angriffe auf interne Netzwerke durch gestohlene Anmeldeinformationen durchgeführt. Greift zum Beispiel ein Anwender mit seinem Notebook auf einen Dateiserver zu, wird eine Vielzahl an Daten übertragen. Nutzt der Anwender mit seinen Anmeldedaten noch weitere Serverdienste wie SharePoint, CRM- oder andere Lösungen, erstellt das Active Directory Tickets (Hashes), um den Zugang zu gewähren.

Gelangen diese Informationen in die falschen Hände, haben Angreifer mit den gestohlenen Benutzerdaten des Anwenders Zugriff auf das Netzwerk. Möglich ist ein Abgreifen der Tickets etwa auf einem infizierten Rechner, da Windows die Hashes im Arbeitsspeicher ablegt. Das sind nicht nur die eigenen, sondern auch die Anmeldedaten anderer Nutzer – vor allen Dingen Administratoren –, die zu Wartungszwecken oder um Daten zu teilen auf den PC zugreifen dürfen.

Handelt es sich um die Anmeldedaten eines Administrators, steigt das Gefährdungspotenzial solcher Angriffe deutlich. In diesem Fall können Angreifer nicht nur auf die Serverdienste zugreifen, die der Anwender ohnehin nutzt, sondern auf eine Vielzahl weiterer Systeme im Netzwerk, die der Anwender normalerweise nicht verwendet. Sichtbar sind diese Attacken nicht – es werden keine Daten vernichtet oder PCs zerstört, sondern schlicht Daten gestohlen. Und das über Monate, ohne dass Administratoren, Firewalls oder Virenscanner irgendetwas bemerken. Derzeit gibt es so gut wie keine Lösungen, die Unternehmen vor solchen Angriffen schützen.

Hat der Angreifer aktive Konten gefunden, kann er alternativ versuchen, mit Brute-Force-Angriffen die Kennwörter der Konten herausfinden. Auch das erkennt ATA sofort und gibt ausführliche Informationen darüber aus, von welchem Client der Angriff ausgeht, welcher Domänencontroller verwendet wird und um welche Benutzerkonten es sich handelt. Hat der Angreifer die Kennwörter erfolgreich gestohlen, kann er sich an PC-Systemen anmelden. Das erkennt ATA ebenfalls – wie alle derartigen Vorgehensweisen, die es auf verständliche Weise anzeigt.

Seite 1: Installation von Microsoft Advanced Threat Analytics
Seite 2: Mit Deep-Packet-Inspection und SIEM auf Angreifersuche


Seite 1 von 2 Nächste Seite >>
8.04.2019/jp/ln/Thomas Joos

Nachrichten

Mimikatz bleibt die größte Gefahr [26.06.2019]

62 Prozent mehr Malware im Vergleich zum Vorquartal und Cyberkriminelle, die zunehmend verschiedene Angriffstechniken kombinieren – der Internet Security Report von WatchGuard für das erste Quartal 2019 zeichnet ein klares Bild der aktuellen Bedrohungssituation. Eine besondere Rolle spielt Mimikatz. [mehr]

IP-Kameras im Visier [25.06.2019]

IP-Kameras sind massiven Cyberangriffen ausgesetzt. So hat Trend Micro nach eigenen Angaben innerhalb von fünf Monaten insgesamt fünf Millionen Attacken gegen IP-Kameras abgewehrt. 75 Prozent aller abgewehrten Angriffe waren dabei Login-Versuche mittels Brute-Force. [mehr]

Tipps & Tools

Hyper-Threading Ein- und Abschalten [9.06.2019]

Simultaneous Multithreading (SMT) oder Hyper- Threading sind Technologien, die entwickelt wurden, um die CPU-Leistungsfähigkeit durch Parallelisierung von Berechnungen zu verbessern. Dieser Tipp zeigt Ihnen, wie Sie Hyper-Threading aktivieren und deaktivieren und weist auf Besonderheiten hin, die auf unterstützter Hardware zu beachten sind. [mehr]

Ubuntu-VM in Citrix erstellen [19.05.2019]

In Citrix-Umgebungen lassen sich unter Umständen nicht alle Applikationen als sogenannte 'Published Apps' bereitstellen, da es Abhängigkeiten zwischen Anwendungen gibt oder diese teils miteinander interagieren müssen, wofür ein kompletter Desktop benötigt wird. Möglicher Ausweg kann dann sein, für bestimmte Nutzer dedizierte Linux-VMs auf Basis von Ubuntu 16.04 zur Verfügung zu stellen, die per Machine Creation Services aus einem gemeinsamen Image erzeugt werden. Die Vorgehensweise dabei ist jedoch nicht ganz einfach. [mehr]

Buchbesprechung

Anzeigen